Tengo que confesarte algo: todo este revuelo hablando de RGPD y cookies durante las últimas semanas me ha pillado un poco por sorpresa.
Sí, el 31 de octubre acababa el plazo que la Agencia Española de Protección de Datos nos había dado en relación a la publicación de su última guía de cookies.
¿En qué consistían esos cambios?
Eso te lo cuento luego, porque primero quiero contarte una historia 100% real.
¡Manda cookies la historia!
Te pongo en situación: es martes 28 de octubre y son las 19:13h de la tarde. Miro el móvil y veo que tengo 2 llamadas perdidas de un cliente.
A esas horas (y a casi cualquiera, realmente), la línea de trabajo está silenciada, así que no lo cogí.
Reviso el correo y también tengo un mail suyo que dice (textualmente):
- Santiago, llámame cuando puedas porque tenemos un tema urgente.
Es un buen cliente, de los que no pecan de “urgentitis”. Así que, aprovechando que voy en el coche (de copiloto), le devuelvo la llamada.
- Hola, X. ¿Qué ha pasado?
- Vale, te cuento… resulta que han cambiado la ley de cookies y tenemos que hacer cosas antes del sábado y se acaba el mundo (igual esto no lo dijo 100% así, pero casi).
- Sí, bueno, aunque el RGPD lleva desde 2016…
- ¡31 de octubre!
- Que sí, pero que hace 9 meses cuando empezamos a trabajar ya os comenté que…
- ¡31 de octubre!
- De verdad, relax. Lleváis dos años ignorando por completo el RGPD y la normativa, ahora no nos agobiemos por intentar implementarlo en 3 días. Mañana nos reunimos y os cuento la situación.
Esto, que podría ser una (poco) divertida anécdota de martes en realidad fue un ejemplo más de las múltiples llamadas, mensajes, Telegrams, presupuestos, etc que hemos estado recibiendo en las últimas 2-3 semanas.
Muchos clientes (y futuros clientes) preocupados por los cambios en sus cookies, en adaptarlo todo deprisa y corriendo y “madre mía que el 31 de octubre ya está aquí”.
Días de locura, de verdad. Y sensaciones encontradas
¿Qué piensas del RGPD, Santiago?
Aquí es donde llega mi dicotomía:
- Por un lado, me hace feliz que se hable de RGPD y que los administradores de sitios web empiecen a concienciarse cada vez más de la importancia de la privacidad de los usuarios. Siempre he dicho que nos olvidamos del RGPD en 3 meses (aunque él no se olvidó de nosotros nunca) y por suerte poco a poco se va cambiando esto.
- Por otro, me enfada ver que todo esto es fruto (como casi siempre) de falta de interés y previsión; porque, como nos olvidamos del RGPD en 3 meses, llevamos ignorando esto desde hace años.
Para el carro, Santiago. ¿No has dicho que el plazo de la Agencia Española de Protección de Datos acababa el 31 de octubre?
Correcto, eso he dicho. Peeeeero (sí, siempre hay un pero) deberíamos saltar al siguiente punto importante.
¿Qué cambios se aplicaron en el RGPD en relación a las cookies el 31 de octubre?
Ojito que aquí salta la sorpresa.
¿Qué cambios ha habido en la (mal llamada) ley de cookies?
Ninguno.
¿Cómo?
Ninguno. Nada reseñable. No hay cambios en el Reglamento General de Protección de Datos.
¿Entonces, qué ha pasado? Sencillamente, una puntualización a nivel europeo y un cambio de criterio en la aplicación del reglamento desde la AEPD.
Para aclarar este asunto, te hago una breve cronología de los hechos.
Cronología del RGPD en España
Empecemos por el principio. Año 2018.
(Si eres un poco purista me dirás, con razón, que todo esto empezó en 2016. Pero tampoco nos vamos a remontar tanto, que ahí sí que casi no le hacía caso ni yo al RGPD).
25 mayo 2018: puesta de largo del RGPD
Podríamos llamar al 25 de mayo de 2018 “el día de la revolución de las cookies”.
Punto álgido del interés que nos generó el RGPD en España, según Google Trends:
Desde ese día entró en vigor el Reglamento General de Protección de Datos. Y, con él, todas las nuevas normativas relacionadas con privacidad y datos que tan bien cuenta Marina en su blog y que también contamos por aquí.
(Antes ya teníamos la LOPD y la LSSI con sus asuntos propios. Pero no me quiero ir por las ramas).
RGPD hasta noviembre de 2019
En aquel momento nos tocó adaptar todas nuestras webs a la normativa. Y la parte de cookies era la más complicada:
- Había que bloquear las cookies hasta obtener el consentimiento.
- Debía permitir que el usuario rechazara las cookies.
- Teníamos que mostrar una información clara
SPOILER: el 99% pasó del tema. Los motivos son diversos y no me extenderé con ello.
Noviembre 2019: nueva guía de cookies
Llega noviembre de 2019 y la Agencia Española de Protección de Datos publica una guía de adaptación de cookies (también llamado librito de cookies para los que no queremos leernos la ley).
En esta guía, nos cuentan una cosa relevante:
- La opción de seguir navegando (hacer scroll) o interactuar con la web (clic en un menú, por ejemplo) pasaba a ser una forma de aceptación válida.
Casi nadie entendió este movimiento de la AEPD (sospecho que fueron “asesorados” con un ojo en intereses publicitarios) y se generaron dos posiciones:
- Escépticos (como Marina y otros profesionales en protección de datos) que dudaban de este movimiento y seguían sin recomendarlo.
- Otros (como yo), que abrazamos el cambio y lo implementamos en algunas páginas web.
Sí, tengo que reconocer que no le veía mucho sentido a este cambio de rumbo, pero el volumen de datos que se perdía era mucho menor que con el botón de aceptar.
Y el cambio técnico de uno a otro método era mínimo (este detalle es muy muy importante, luego verás el porqué).
Mayo de 2020: tirón de orejas
Se viene el drama. A nivel europeo, alguien decide que igual el texto del reglamento puede llevar a equívoco y hace un par de matizaciones:
- Necesitamos un consentimiento explícito y claro del usuario.
- Jamás se considerarán como explícitas fórmulas del tipo “scroll” o “seguir navegando”.
En realidad, ningún país había seguido la corriente de España considerando válida la aceptación por scroll. Así que la AEPD se quedó un poco sola.
Julio de 2020: (otra vez) nueva guía de cookies
Con el tirón de orejas ya dado desde Europa, era cuestión de días (que fueron meses) que la AEPD actuara.
Llega el 28 de julio y publican una nueva guía de cookies en la que nos muestran cuáles son las formas válidas de aceptación.
Y, obviamente, se ciñen al criterio europeo y se especifica que solo la fórmula con un botón claro para aceptar se considerará válido.
¿Hay cambios en la ley? No. Lo único que ha habido es un cambio de criterio en la forma de considerar la norma
De hecho, lo que hace es volver al criterio original.
¿Y de verdad no hay más cambios de RGPD y cookies?
Venga, voy a ser honesto contigo: hay 2 matizaciones adicionales en la guía:
- Se prohíben expresamente los muros de cookies que impidan al usuario acceder al contenido si no han aceptado las cookies.
- Debemos mostrar las cookies de la manera más granular posible, para que el usuario de manera clara pueda decidir qué cookies acepta y cuáles no al acceder a la web. Ya sabes, el típico panel en el que marcas y eliges entre cookies obligatorias, analíticas y publicitarias, por ejemplo.
Esto, que parece superimportante (porque lo es), tampoco es nuevo y ya se hablaba de ello en la norma original.
Tal vez no con esas palabras exactas, pero te aseguro que ya estaba desde 2018.
Entonces, ¿por qué las prisas?
Esa es mi gran duda.
Primero, porque del 28 de julio al 31 de octubre hemos tenido mucho tiempo… y lo hemos vuelto a dejar para el último día.
Segundo, porque con los cambios de la guía en la mano, había 3 tipos de webs:
- Las que ya estaban adaptadas con su hermoso botón de aceptar.
- Las que, estando adaptadas, pusieron la aceptación “con scroll”.
- Las que no cumplían esta norma (ni ninguna).
Las primeras siguen viviendo felices y sin cambios.
El cambio para las segundas, si realmente estaban bien adaptadas, era cuestión de minutos, ya que todas las herramientas “decentes” permiten hacer el cambio a golpe de clic prácticamente.
El cambio para las terceras será dramático… ¡Pero llevaban 2 años ignorando el RGPD! Lo peor que puedes hacer en ese escenario, además, es hacerlo con prisas.
No estoy invitando a que sigan incumpliendo la ley, solo llamo a la calma para que se haga la adaptación de manera correcta.
¿Y todo esto no lo puede hacer el navegador?
Gran pregunta. Muchas veces se ha debatido sobre si la gestión de cookies no debería delegarse en el navegador en lugar de ser una obligación del administrador de la web.
Respuesta corta: NO, ya que muchos usuarios aún utilizan navegadores antiguos y no podemos tener el control sobre ellos (ni obligarles a actualizar).
Sin embargo, la AEPD abre la puerta a que en el futuro esto sí pueda hacerse así, siempre que el navegador facilite algún mecanismo de control al administrador de la web.
De ese modo, los desarrolladores podremos leer esa información de preferencias del navegador y, solo en el caso de que no exista (navegador antiguo), mostraríamos el banner.
No voy a meterme en esto, que bastante me estoy alargando ya y aún le queda recorrido al tema para ser real. Si te interesa, cuéntame en los comentarios y preparamos un especial sobre ello.
Cómo superar los cambios de cookies en tus páginas web (receta de éxito casi asegurado)
Madre mía, lo que hablo.
Para no liarte más, voy a recapitular cómo debería ser en noviembre de 2020 tu banner de cookies:
- Muestra la información clara para los usuarios.
- Permite aceptar y rechazar las cookies de manera sencilla.
- No impide la navegación en caso de ser rechazadas.
- Si procede, permite al usuario elegir la configuración y preferencias sobre qué tipos de cookies quiere aceptar.
Por desgracia, no existen (aún) plugins ni herramientas mágicas para implementar esto (la semana que viene te contaré que debería tener el plugin de cookies perfecto para nosotros).
Pero sí hay una serie de pasos clave que deberíamos tener todos bien claros:
- Conocer al detalle qué herramientas usamos en nuestra web y cuáles de ellas usan cookies (y para qué).
- Darle la vuelta a todo esto del RGPD y dejar de pensarlo como normas, leyes y multas: lo que importa aquí es la privacidad de nuestros usuarios.
- Informarnos y dejarnos asesorar por profesionales sobre las mejores soluciones para llevarlo a cabo.
- Dejar de protestar y ejecutar un plan de acción: sin atajos y sin hacerlo apresuradamente.
Y hasta aquí mis reflexiones sobre estos últimos “cambios” en la normativa sobre cookies y RGPD.
¡Ah! Y si quieres formarte con nosotros y aprender cómo hacer paso a paso todo esto con éxito, échale un vistazo a nuestro curso de RGPD para WordPress (orientado a implementadores y desarrolladores web) o a Digitaliza RGPD, para profesionales de protección de datos que busquen dar un salto online.
¡Nos vemos en la próxima!
22 respuestas
Excelente post. Y es que ahora parece que se acaba el mundo… Y todo por haber pasado olímpicamente en su momento.
Gracias, Sofía!
Totalmente de acuerdo. Se ha revolucionado todo cuando en realidad la gente ya llevaba años pasando del tema jajaja.
Un abrazo y gracias por comentar!
Fenomenal el artículo ??
Yo tengo la duda sobre Analytics. He leído algún artículo que indica que si anonimizas la ip en Analytics y configuras la cuenta Para que no comparta datos con nadie no hace falta dar la opción de bloquear y se deja funcionar como si nada, tú cómo lo ves?
Gracias y a seguir con el blog que está fenomenal
Gracias, Roger!
Uffff, buen melón has abierto jajaja. Sí, yo también he leído varios de esos artículos… pero yo no termino de fiarme, la verdad.
Es algo sobre lo que quiero profundizar a intentar sacar algo en claro. ¿Lo conseguiremos? Te mantendré informado jajaja
Un saludo y gracias por tu comentario 😉
Buenas tardes Santiago.
Tengo una tienda online con Prestashop y he adquirido un módulo para que el usuario pueda gestionar las cookies según la normativa actual. Pero tengo una duda, y es con las cookies de google analytics. Actualmente no se graba la cookie a no ser que el usuario haga click en el botón de ACEPTAR expresamente. Esto provoca que muchos usuarios siguen navegando sin darle a ACEPTAR y esa visita no me sale reflejada en Google Analytics, y claro me han bajado las visitas “aunque no es verdad” desde que he implementado esto. Hay alguna solución a eso?
Muchas gracias,
Hola, Marcos! Gracias por leer y comentar.
Sí, eso es algo que ocurre siempre. Una manera de minimizar ese “impacto” es hacer el banner muy llamativo (normalmente hacemos justo lo contrario) para que el usuario lo vea y acepte.
Te recomiendo echar un vistazo a este artículo también, en relación a esos datos que perdemos: https://tecnicorgpd.com/blog/experimento/
Un saludo!
Hola Santiago,
Excelente entrada.
Al menos a ti te hacen caso y te llegan clientes, porque lo que es a mí, me ignoran olímpicamente. Debe ser que en Canarias lo de las cookies es como un deporte de riesgo y a las empresas les va el dopaminarse.
No está bien que lo diga pero, honestamente, me gustaría que alguna de ellas tuviera un escarmiento.
¡Un saludo!
Gracias, Manolo!
Jajajajaja. Poco a poco irán entrando en razón… (espero).
De momento, puedes enviarle esta sanción que está calentita, calentita: https://twitter.com/marinabrocca/status/1326884344288448513?s=20
Un saludo!
Wowwww…
Y yo temblando… ?
Gracias por el Post.
jajajaja. Gracias, Carmen!
Sí, no era tanto el drama.
Los que ya eran legales, la adaptación es mínima. Los que aún eran ilegales… tampoco es momento ahora de rasgarse las vestiduras jajajaja
Un saludo!
Espectacular post. A ver si los implicados en el gremio (desarrolladores, diseñadores web y clientes) empiezan a tomárselo en serio…
Enhorabuena, Santiago.
¡Un saludo!
Mil gracias por comentar, Marcos!!
Poco a poco creo que va calando el mensaje y los usuarios están más concienciados.
Un saludo!
Otra duda. Dices que hay que permitir que el usuario rechace las cookies. Esto está perfecto. La pregunta legal es: ¿debe estar habilitado el botón de rechazar en el banner o puede estar dentro de la sección de ajustes?
¡Mil gracias!
Hola, Marcos!
Según aparece en la guía de cookies de la AEPD, el segundo ejemplo muestra justo eso que dices: la acción de rechazar está en la segunda capa. En la primera solo tenemos los botones de aceptar todo y los ajustes.
En mi opinión, eso es dificultar la acción al usuario (lo que va en contra del RGPD), pero parece que la AEPD no lo entiende así.
Un saludo!
Hola, Santiago.
Gracias por la respuesta. Ahora entiendo muchas webs que no ponen el rechazar en su capa inicial. Si la AEPD lo permite en su reglamento imagino que NO están incumpliendo la manera que hay en España de entender la ley (otra cosa es que esté bien…)
¡Un saludo y, de nuevo, gracias!
Hola Santiago,
Felicidades por la claridad con la que lo explicáis todo!
En referencia a las famosas cookies os quería trasladar una duda… en qué tabla de la base de datos de WordPress queda registrada la aceptación o rechazo de las cookies por alguien que visita la web?
Muchísimas gracias!!
Saludos.
Hola, Gemma!
Mil gracias por tu comentario 😀
Respondiendo a tu pregunta: depende muchísimo del plugin o herramienta que utilices. Prácticamente ningún plugin del repositorio almacena en la base de datos el registro de consentimiento.
Por lo general, funcionan marcando una cookie de funcionamiento (estrictamente necesaria) en el navegador del usuario para marcar sus preferencias.
Es un tema que ha dado para varios debates jajaja. Pero a mí me parece la solución técnica más adecuada (y que mejor cumpliría el reglamente, realmente).
Un saludo!
Hola buenas tardes,
Buscando por internet alguna página que me pueda resolver todas las dudas que tengo acerca de las dichosas cookies me encontrado con vosotros cosa de la cual me alegro y espero me podáis resolver, como ya he dicho todas las numerosas dudas que tengo.
Me dedico a maquetar webs y en todas ellas tienen el aviso de cookies “seguir navegando” Ahora me encuentro que con la nueva normativa ha cambiado y se debe especificar de otra forma como bien indicáis. Tengo unas cuantas webs y si debo cambiar el aviso “seguir navegando” voy a tener mucha faena aparte de alguna complicación que otra por el tema de idiomas o plugin. Mis preguntas son las siguientes y disculparme que creo que van a ser extensas…
Tengo realizadas una decena de webs con el gestor de Weebly y alojadas en su misma plataforma. Esta plataforma no utiliza más que el plugin de aceptar y seguir navegando para no infringir la nueva normativa si suprimo el seguimiento de las cookies de analytics no haría falta de avisar como indica en la nueva normativa..? No obstante podría dejar el aviso de seguir navegando y el rollo de la definición de cookies que ya tengo no..? Aparte del Analytics también incluyo el código de la consola webmaster tools de Google, esta activación en dicha consola de Google se considera también una cookies de seguimiento??
También quiero saber si Google Maps, el traductor de Google u otro plugin de traducción instalado, vídeo de Youtube, y los enlaces a redes o perfiles del cliente todas ellas utilizan cookies que debe ser avisado también..? o bien si tengo un formulario con captcha ya sea de Google o del mismo tema..? o solamente seria Analytics..? Por otra parte he instalado el plugin que comentan Complianz – Consentimiento de cookies de GDPR / CCPA
en todos los proyectos que tengo realizados con Word Press y he visto que no indica o señala el tema que utilizas, en mi caso Divi de Elegant Themes o avisando como hace este plugin solamente de las cookies del Word Press son suficientes..? no hace falta especificar el tema…? Este mismo plugin he visto que la información que añade sobre cookies es escueta y no cita como desactivar las cookies en los navegadores, no hace falta hacerlo verdad..? ya que indica en los botones de anuncio si desactivar todo y dejar las necesarias verdad.? Y el hecho que yo en la web tenga varios idiomas y el mensaje de cookies solamente aparezca en castellano puedo incurrir en una falta por no añadirlo en los idiomas que tiene la web?
Sobre el plugin yo tengo activado como viene por defecto, supongo que será de fiar y con ello estaré cumpliendo con la ley pero no me queda claro si se debe llevar un registro de todos los usuarios que deniegan o activas las preferencias como viene el plugin.
Pues creo que esto seria todo, si debo eliminar analytics lo elimino porque pienso que me quitará muchísimo trabajo. Pero no se si las otras opciones instaladas y comentadas es necesario cumplir con la nueva normativa o por el contrario dejo todo como esta con el aviso de “Seguir navegando” Sobre lo de la consola webmaster también si se considera un seguimiento..o no ?
Disculpas por la gran parrafada pero este tema me tiene desquiciado. y doy las gracias de antemano..
Un enorme abrazo
Hola, Pablo!
Lo principal aquí es tener muy claro qué cookies utilizan tus webs, qué herramientas las están colocando y cuál es su funcionalidad.
Solamente las cookies analíticas y publicitarias son las que necesitan consentimiento. Para conocer más sobre cookies puedes ver otros artículos este blog o en el blog de Marina (https://marinabrocca.com/blog)
Por otro lado: si el banner nativo de Weebly no te permite cumplir con la normativa, te invito a investigar si puedes integrar otra solución de terceros, como Cookiebot o similares para cumplir con la norma.
Si tus únicas cookies “problemáticas” son las de Analytics tal vez tu solución sí pase por eliminarlo y plantearte el paso a una herramienta de analítica sin cookies, como Plausible o Fhatom.
Si quieres ampliar más información o resolver otras dudas más concretas tienes a tu disposición nuestros cursos de formación en RGPD y también los servicios de consultoría que tanto Marina como yo impartimos.
Gracias por comentar!
Gracias Santiago, si el problema es que no se que cookies utilizo según las herramientas o plugins instalados pero por eso te preguntaba acerca del Traductor de Google que no si lleva alguna cookie asociada. Pero te agradezco tu respuesta.. Sobre las herramientas analíticas que me has pasado no he sido capaz de encontrarlas por internet si me puedes pasar los enlaces te lo agradecería. Muchas gracias y saludos
Hola, Pablo!
Puedes mirar en una herramienta como cookiemetrix.com para empezar a conocer qué cookies utilizas. La verdad, no he trabajado con Google Translate para decirte si utiliza cookies. Aunque siendo de Google… sospecho que sí.
Sobre las herramientas analíticas, mírate este post de Nahuai Badiola que comenta varias soluciones: https://nbadiola.com/mejores-alternativas-google-analytics-wordpress/
Muchísimas gracias Santiago por todo tu interes me has sido de gran ayuda
Saludos